Viendo que desde el blog oficial no emiten ningún comunicado al respecto, hagámoslo aquí:

Durante los últimos días han aparecido diversas fuentes que indican una gran estafa. El robo de contraseñas de cuentas de usuario de Tuenti, en páginas que “se hacen pasar por la original”.

El listado de estas webs son, actualmente, por lo menos:

  • tuenti.host56.com: es quizás la más similar a la actual (2010), salvo que le falta abajo la publicidad de las “Tuenti-páginas”.
  • freesoftwareando.com/proyectos/tuentifake/index.php: usando el diseño del 2010. Quizás este ejemplo no sea considerable phishing, ya que la propia web indica que no se deben poner los datos, y en éstos aseguran que no los guardan… pero poca precaución es poca.
  • zonazero.yoo7.com/Tuenti-Interfaz-de-Zona-Zero-h26.htm: usa un diseño propio basado en el del 2009. Puede que no sea phishing, ya que no parece guardar las contraseñas, si no que redirecciona a Tuenti; podría considerarse un reclamo para acceder al portal de forma indirecta.
  • zopalimpalem.com/8/tuentiii2/body1.html: más de lo mismo… un diseño propio basado en el del 2009, pero que puede no ser considerado phishing, ya que aparentemente no guarda las contraseñas, si no que redirecciona a Tuenti; podría considerarse un reclamo para acceder al portal de forma indirecta.
  • tuentii.netne.net: basada en un diseño del 2009, pero mucho más falso, esta web ni funciona (no roba ni redirecciona) debido a un fallo de javascript.
  • rubenrod.webege.com: utiliza un diseño actual (2010), similar a la anterior. Por fiable que parezca esta página al detectar que fallamos la contraseña, sigue guardando la contraseña.
  • tuentidad.host56.com (desde la Plataforma Social “TuEntidad.es” se ha pedido a sus usuarios que tengan especial cuidado antes de poner las contraseñas en una página web de poca confianza en un comunicado oficial): utiliza el diseño que tenía la página web en el 2008.
  • mtuenti.comxa.com: utiliza un diseño del 2009.
  • drop-ro.net: utiliza un diseño del 2009, similar a la anterior (actualmente no lo muestra ya, el link lleva a la caché de google).
  • megaupl.site40.net: lo mismo ocurre con esta.
  • c0ders.net: al igual que la anterior, ya no está disponible, pero en su día se ve que tenía una página de inicio similar a la de Tuenti de este año 2010.
  • tuentti.freeiz.com: utiliza un diseño similar al del 2009, pero descaradamente falso. Como dato de interés, usa una herramienta de google que incluye los datos enviados en un documento público.
  • robocock.es: utiliza un diseño similar al del 2009; aunque en robocock.es/tuenti.html está con la versión más actual, del 2010, con las “Tuenti-Páginas”. Esta, al ser .es, ha sido inmediatamente puesta en conocimiento a la la entidad pública empresarial Red.es para que inicien los trámites.
  • http://www.canhaveral.com/Acceso%20a%20Tuenti.htm: usa un diseño del 2009; pero lo más destacable es que, si ya es triste hacerlo en un subdominio, en este caso nos encontramos con una página en la que se accede a través de un html.
  • albertoacebo.iespana.es: usa un diseño entre el del 2008 y el del 2010. En este caso, como en el anterior, parece que tienen algún tipo de error en el código JavaScript que no envia las contraseñas a sus posibles almacenes, redireccionando a la página original.
  • quienentraentutuenti.50webs.com: usa un diseño del 2008. Este caso sirve como ejemplo de un típico caso de llamada al phishing: esta vez “aseguran” mostrar la lista de gente que accede a tu perfil. Obviamente, no es más que una trampa más sin ningún tipo de fundamento.

Parece que alguien tiene trabajo de verdad.

El mayor indicio de que se trata de una página web falsa suele ser, paradójicamente, que se parezca demasiado a la original. La clave siempre es fijarse en la dirección a la que se ha accedido, aun así no se está seguro al cien por cien. También es muy importante fijarse en si la página es algún tipo de subdominio, y revisar de dónde cuelga: si la página (como en dos de los ejemplos) termina por .host56.com y en esa web no hay algo relacionado, seguramente sea una estafa. En este caso, además, se trata de un servicio de hosting. Una página medianamente fiable tendrá un dominio (un .com, por ejemplo) explícito.
Esto es un poco avanzado, pero quizás sea de interés para algunas personas: Hasta hace poco había una forma muy sencilla de certificar que una web no era fiable, pero parece que se ha perdido la buena costumbre que se necesita.
El objetivo de una web fraudulenta es conocer la contraseña (lo que escribimos) para después usarla para suplantar nuestra identidad.
Entonces, lo que las páginas falsas hacían era, a la hora de hacer login, enviarse a sí mismas la contraseña para que fuera almacenada. Por lo tanto, si hacíamos una prueba (nos inventábamos unas credenciales: usuario y contraseña) y mirábamos qué pasaba, pues nos daría una pista.
Lo más sencillo que se podía hacer era mirar qué ocurría. Generalmente lo que suele pasar es que las propias páginas nos intentan iniciar sesión directamente en la página real, redireccionando a ésta… y mostrando un error. La segunda forma, un poco más técnica, es revisar los encabezados de la petición para saber si los datos están codificados o no; si veías la contraseña que inventaste, tenía mala pinta.
Como digo, generalmente, la contraseña “al uso” nunca salía de nuestro ordenador… Antes, en las dos grandes Redes Sociales se accedía enviando el usuario y la clave (se codificaba con el algoritmo md5 el password), y así la contraseña nunca se enviaba. Ahora, la contraseña se envía por el canal seguro https, pero tal cual, por lo que en caso de haber algún tipo de vulnerabilidad, sabrán qué hemos escrito.
Por suerte hay algunas que todavía conservan el híbrido entre https y sistema de claves.
PD. A día de hoy (dos días después), parece que algunas dejan de ir funcionando.

PD2. a 12 de Junio de 2010, aparece esta: adrianbernal.es, que conforme a los mismos parámetros que en su momento justificaron la actuación en robocock.es, ha sido puesto en conocimiento de las autoridades.

Anuncios